| |
| |||||||
Log-Analyse und Auswertung: TR/Sirefef.BV.2 // System Check // Desktop unsichtbarWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
22.02.2012, 23:06
| #1 |
 |  TR/Sirefef.BV.2 // System Check // Desktop unsichtbar Guten Abend zusammen, es scheinen ja mehrere dieses Problem zu haben in letzter Zeit - beim Besuchen einer vermeintlich sicheren Seite (Fahrrad-Forum) hat Antivir vor Trojanern gewarnt, dann ging es ziemlich schnell - System Check wurde installiert, zahlreiche Popups, Neustart - danach war der Desktop leer, alle Laufwerke ebenfalls leer, alle Programme (Start-Menü) verschwunden bis auf besagtes System Check, der Task-Manager war gesperrt. Über msconfig->Systemstart konnte ich das Programm pdOPCHAeNauu.exe deaktivieren, somit erschien zumindest "System Check" nicht bei jedem Neustart. Den Taskmanager, die Desktop-Symbole sowie den Inhalt der einzelnen Laufwerke habe ich über Regedit bzw. die Ordner/Ansicht-Optionen wiederhergestellt - Inhalt der Laufwere ist noch "unsichtbar" markiert. Es bleiben weiterhin die laufenden Meldungen von Avira, die (noch) unsichtbar markierten Inhalte der Laufwerke, sowie das komplett leere Startmenü. Folgende Viren/Trojaner/Exploits hat Avira bisher genannt: - EXP/CVE-2010-4452.J - TR/Crypt.XPACK.Gen8 - EXP/Pdfjsc.RF.130 - JS/Blacole.AR.3 - TR/Sirefef.BV.2 (kommt am häufigsten) Bisher habe ich abgesehen von den o.g. Maßnahmen (Regedit, Msconfig, Ordneransicht) die folgenden Programme laufen lassen: -Defogger -DDS -GMER - Malwarebytes Anti-Malware - die hierbei gefundenen Schädlinge habe ich über den entsprechenden Knopf in die Quarantäne verschoben und danach neu gestartet. Logs der genannten Programme folgen. DDS ist direkt im Post, attach.txt, gmer.txt sowie Malwarebyte Logs siehe .zip im Anhang. Ich bedanke mich bereits im Vorraus für jegliche Hilfe - julius DDS Code:
ATTFilter .
DDS (Ver_2011-08-26.01) - NTFSx86
Internet Explorer: 8.0.6001.18702 BrowserJavaVersion: 1.6.0_27
Run by juuu at 18:44:23 on 2012-02-22
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1023.492 [GMT 1:00]
.
AV: AntiVir Desktop *Enabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
============== Running Processes ===============
.
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost -k DcomLaunch
C:\WINDOWS\system32\svchost -k rpcss
C:\WINDOWS\System32\svchost.exe -k netsvcs
C:\Programme\Intel\WiFi\bin\S24EvMon.exe
C:\WINDOWS\system32\svchost.exe -k NetworkService
C:\WINDOWS\system32\svchost.exe -k LocalService
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\svchost.exe -k LocalService
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Intel\WiFi\bin\ZCfgSvc.exe
C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
C:\WINDOWS\Temp\_ex-68.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Intel\WiFi\bin\EvtEng.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Intel\WirelessCommon\RegSrvc.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe -k imgsvc
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
.
============== Pseudo HJT Report ===============
.
uInternet Settings,ProxyOverride = *.local
BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\programme\gemeinsame dateien\adobe\acrobat\activex\AcroIEHelperShim.dll
BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\programme\java\jre6\bin\jp2ssv.dll
BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - c:\programme\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
uRun: [CTFMON.EXE] c:\windows\system32\ctfmon.exe
uRun: [4Y3Y0C3A1F7XWW5EEYPD] c:\recycle.bin\B6232F3A739.exe /q
mRun: [ATIPTA] c:\programme\ati technologies\ati control panel\atiptaxx.exe
mRun: [avgnt] "c:\programme\avira\antivir desktop\avgnt.exe" /min
mRun: [NotebookHardwareControl] "c:\programme\notebook hardware control\nhc.exe" -quiet
mRun: [IntelZeroConfig] "c:\programme\intel\wifi\bin\ZCfgSvc.exe"
mRun: [SunJavaUpdateSched] "c:\programme\gemeinsame dateien\java\java update\jusched.exe"
mRun: [APSDaemon] "c:\programme\gemeinsame dateien\apple\apple application support\APSDaemon.exe"
mRun: [MozillaAgent] c:\windows\temp\_ex-68.exe
dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE
dRun: [DWQueuedReporting] "c:\progra~1\gemein~1\micros~1\dw\dwtrig20.exe" -t
IE: E&xport to Microsoft Excel - c:\progra~1\micros~2\office12\EXCEL.EXE/3000
IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\programme\messenger\msmsgs.exe
IE: {38E51477-DDB4-4aed-9D61-D0C193E10749} - {38E51477-DDB4-4aed-9D61-D0C193E10749} {38E51477-DDB4-4aed-9D61-D0C193E10749} - {38e51477-ddb4-4aed-9d61-d0c193e10749}\inprocserver32 does not exist!
IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - c:\progra~1\micros~2\office12\REFIEBAR.DLL
LSP: mswsock.dll
DPF: {00000161-9980-0010-8000-00AA00389B71} - hxxp://download.microsoft.com/download/C/A/7/CA7D2024-EA89-4F15-908C-DA65C1666614/msaud.CAB
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_27-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0027-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_27-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_27-windows-i586.cab
DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - hxxp://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
TCP: DhcpNameServer = 192.168.178.1
TCP: Interfaces\{C1E5B6CC-A7BC-4215-8743-4D059D06A5D7} : DhcpNameServer = 192.168.178.1
Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - c:\progra~1\gemein~1\skype\SKYPE4~1.DLL
Notify: AtiExtEvent - Ati2evxx.dll
.
================= FIREFOX ===================
.
FF - ProfilePath - c:\dokumente und einstellungen\juuu\anwendungsdaten\mozilla\firefox\profiles\30i2y6ni.default\
FF - plugin: c:\programme\java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\programme\mozilla firefox\plugins\npstrlnk.dll
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\mozilla firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\programme\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} - c:\programme\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0027-ABCDEFFEDCBA} - c:\programme\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0027-ABCDEFFEDCBA}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\microsoft.net\framework\v3.5\windows presentation foundation\DotNetAssistantExtension
FF - Ext: Java Quick Starter: jqs@sun.com - c:\programme\java\jre6\lib\deploy\jqs\ff
.
============= SERVICES / DRIVERS ===============
.
R1 avgio;avgio;c:\programme\avira\antivir desktop\avgio.sys [2009-11-15 11608]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\avira\antivir desktop\sched.exe [2009-11-15 108289]
R2 AntiVirService;Avira AntiVir Guard;c:\programme\avira\antivir desktop\avguard.exe [2009-11-15 185089]
R2 avgntflt;avgntflt;c:\windows\system32\drivers\avgntflt.sys [2009-11-15 56816]
R3 CONAN;CONAN;c:\windows\system32\drivers\o2mmb.sys [2009-11-14 191092]
R3 MbxStby;MbxStby;c:\windows\system32\drivers\MbxStby.sys [2009-11-14 6100]
R3 MovRVDrv32;MovRVDrv32;c:\windows\system32\drivers\MovRVDrv32.sys [2010-1-23 3768]
R3 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [2009-10-20 50704]
S3 SoundMovieServer;SoundMovieServer;c:\windows\system32\snmvtsvc.exe [2010-1-23 184320]
.
=============== Created Last 30 ================
.
2012-02-20 17:57:26 -------- d-----w- c:\dokumente und einstellungen\juuu\anwendungsdaten\Malwarebytes
2012-02-20 17:57:19 -------- d-----w- c:\dokumente und einstellungen\all users\anwendungsdaten\Malwarebytes
2012-02-20 17:57:17 20464 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-02-20 17:57:17 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2012-02-20 17:36:59 -------- d-sh--w- c:\dokumente und einstellungen\juuu\IETldCache
2012-02-19 17:59:24 6144 -c----w- c:\windows\system32\dllcache\iecompat.dll
2012-02-19 17:59:03 -------- d-----w- c:\windows\ie8updates
2012-02-19 17:57:06 12800 -c----w- c:\windows\system32\dllcache\xpshims.dll
2012-02-19 17:57:04 602112 -c----w- c:\windows\system32\dllcache\msfeeds.dll
2012-02-19 17:57:04 55296 -c----w- c:\windows\system32\dllcache\msfeedsbs.dll
2012-02-19 17:57:03 2000384 -c----w- c:\windows\system32\dllcache\iertutil.dll
2012-02-19 17:57:02 247808 -c----w- c:\windows\system32\dllcache\ieproxy.dll
2012-02-19 17:57:02 11082240 -c----w- c:\windows\system32\dllcache\ieframe.dll
2012-02-19 17:57:01 743424 -c----w- c:\windows\system32\dllcache\iedvtool.dll
2012-02-19 17:54:07 -------- dc-h--w- c:\windows\ie8
2012-02-16 22:20:25 0 --sha-w- c:\windows\system32\dds_trash_log.cmd
2012-02-15 17:14:03 3072 -c-h--w- c:\windows\system32\dllcache\iacenc.dll
2012-02-15 17:14:03 3072 ---h--w- c:\windows\system32\iacenc.dll
2012-02-10 21:39:08 -------- d--h--w- c:\dokumente und einstellungen\juuu\lokale einstellungen\anwendungsdaten\.elfohilfe
.
==================== Find3M ====================
.
2012-02-16 22:27:31 22528 ---ha-w- c:\windows\system32\drivers\nhcDriver.sys
2012-01-12 17:20:28 1860096 ---ha-w- c:\windows\system32\win32k.sys
2011-12-17 19:43:23 916992 ----a-w- c:\windows\system32\wininet.dll
2011-12-17 19:43:23 43520 ------w- c:\windows\system32\licmgr10.dll
2011-12-17 19:43:23 1469440 ------w- c:\windows\system32\inetcpl.cpl
2011-12-16 12:22:58 385024 ------w- c:\windows\system32\html.iec
2011-11-25 21:57:03 293888 ---ha-w- c:\windows\system32\winsrv.dll
.
============= FINISH: 18:48:03.58 ===============
|
| Themen zu TR/Sirefef.BV.2 // System Check // Desktop unsichtbar |
| antivir guard, avira, desktop leer, einstellungen, firefox, maßnahme, plug-in, popups, problem, recycle.bin, sirefef.bv.2, svchost, svchost.exe, system, system check, taskmanager, temp, tr/crypt.xpack.ge, tr/crypt.xpack.gen, tr/sirefef.bv.2, trojaner, win32:sirefef-btt, windows, windows xp, xpack.gen8 |
Baum-Darstellung